ASA에서 NAT, PAT구성
- 구성도에서, ASA1이 >> R1으로 대체된다면,
Router(IOS)에서 PAT 설정
R1
interface e0
ip nat inside
interface e1
ip nat outside
access-list 1 permit 10.1.22.0 0.0.0.255
ip nat inside source list 1 interface e1 overload
#show ip nat translation
ASA PAT 설정
object network INSIDE
subnet 10.1.22.0 255.255.255.0
nat (inside,outside) dynamic interface
#show xlate
기본 설정
R2
interface e0/0
ip add 10.1.22.2 255.255.255.0
ip ospf 1 area 0
no shut
R4
interfrace e0/0
ip add 211.239.123.4 255.255.25.50
ip ospf 1 area 0
no shutdown
ASA
interface g0/0
nameif inside
security-level 100
ip add 10.1.22.254 255.255.255.0 #show interface ip brief
no shut #show nameif
interface g0/1
nameif outside
security-level 99
ip add 211.239.123.254 255.255.255.0
no shut
router ospf 1
network 10.1.22.0 255.255.255.0 area 0 #show ospf neighbor
network 211.239.123.0 255.255.255.0 area 0 #show route
policy-map global_policy
class inspection_default
inspect icmp
확인1. R2#ping 211.239.123.4 !!!!!!!
ASA#show conn
확인2. R4#ping 10.1.22.2 ........
확인3. R2#telnet 211.239.123.4 open ASA#show conn
neighbor 단절
확인4. R4#telnet 10.1.22.2 ........
문제1. ASA에서 TEST용으로, OUTSIDE의 OSPF를 삭제합니다.
ASA#show ospf neighbor로 보면, R4와 Neighbor가 단절됨
R2#ping 211.239.123.4 ........
>>> R4이 10.1.22.0/24를 모르기 때문 입니다.
>>> ASA에서 211.239.123.254로 PAT하시면, 됩니다.
문제2. ASA의 Inisde 대역에서 outside로 나가는 경우, ASA G0/1으로 PAT되도록 설정합니다.
확인1. R2#ping 211.239.123.4 !!!!!!!
확인2. R2#telnet 211.239.123.4 open
ASA#show conn
ASA#show xlate
Final LAB
문제1. ASA에 기본 설정 후, Failover를 구성한다.
policy-map global_policy
class inspection_default
inspect icmp
-> sh run에서 복사하면된다.
문제2. ASA1, ASA2에 이중화를 위해, Failover를 구성한다.
ASA1
ASA2
hostname ASA
- ASA2도 변경되는 것을 확인한다.
#show failover
확인2. ASA1에서 아래의 Command로 hostname을 변경해보세요.
config)#hostname ASA1
다음과 같이 ASA2에서 ASA1로 변경된 것을 확인할 수 있다.
ASA2에서 conmmand를 작성하려고 하면 다음과 같이 작성하지 말라는 command가 나온다.
Active인지 secondary인지 확인하는 명령어
config)#prompt hostname priority state
확인3. ASA2에서 아래의 Command로 Active로 변경한다.
ASA2#failover active
-> active를 가져오겠다
ASA2#no failover acitive
-> active를 가져오지 않겠다
확인4. ASA의 Active에 아래의 설정을 추가한다.
설정이 동기화되는 것을 확인한다.
#show access-list
ASA1/priority/active
ASA1/secondary/standby
1. VLAN 구성
SW5, SW6, SW1, SW2에 Vlan 구성
-> SW5 (e1/0, e0/3, e0/1)에 vlan 10 설정
-> SW6 (e1/0, e0/3, e0/1)에 vlan 20 설정
-> SW1 (e1/0) vlan 10,
-> SW1 (E0/1) VLAN 10
-> SW1 (E0/2) VLAN 100
-> SW1 (E0/3) VLAN 20
-> SW2 (E0/1) VLAN 20
-> SW2 (E0/2) VLAN 100
-> SW2 (E0/3) VLAN 10
확인1. #show vlan
확인2. #show inteface status
2. Trunk, Etherchannel 구성
SW1, SW2 간에 Trunk 구성 및 Etherchannel
확인1. #show interface trunk
확인2. #show etherchannel summary
3. STP 구성
SW1, SW2, SW5, SW6에 RSTP로 변경한다.
-> vlan 10은 SW5의 E0/3이 Blocking
-> vlan 20은 SW6의 E0/3이 Blocking
확인1. #show spanning-tree vlan 10
SW1
SW5
확인2. #show spanning-tree vlan 20
SW2
SW6
4. HSRP 구성
SW1,SW2에 VLAN10,VLAN 20에 대한 HSRP를 구성합니다.
SW1은 VLAN 10에 대해, Active,
SW2은 VLAN 20에 대해, Active로 설정합니다.
SW1#show standby brief로 확인합니다.
5.1 OSPF 구성 (Inside)
SW1,SW2,ASA1에 OSPF를 구성합니다.
- ASA에는 OSPF가 구성되어 있습니다.
- ASA가 VLAN 100에 대해서, OSPF DR이 되도록 설정합니다.
5.2 OSPF 구성 (outside)
SW3,SW4,ASA1에 OSPF를 구성합니다.
- ASA에는 OSPF가 구성되어 있습니다.
- ASA가 VLAN 200에 대해서, OSPF DR이 되도록 설정합니다.
- SW3,SW4에서는 OSPF로 Default Route를 전파합니다.
ASA#show ospf neighbor >> 4개의 neighbor 확인
ASA#show route
SW3#show ip ospf neighbor로 확인합니다.
6. BGP를 통해 외부와 연동합니다.
- SW3, SW4간에 IBGP를 설정합니다.
- KT, SKB간에 EBGP설정합니다.
- SW3, KT간에 EBGP를 설정합니다.
- SW4, SKB간에 EBGP를 설정합니다.
SW3에서 show ip bgp summary로 확인합니다.
SW4에서 show ip bgp summary로 확인합니다.
7. ASA에서 PAT를 설정합니다.
확인1. PC1,PC2에서 11.11.11.11로 통신이 되는것을 확인합니다 !!!
